阿里云AccessKey泄露以及nacos1.4.2漏洞修复

起因:每隔一段时间阿里云就会报AccessKey泄露了,但是并没有在代码中写AccessKey,后来发现在nacos中多了个新用户,是之前没有添加过的

排查:

1.检查是否开启了鉴权

查看配置文件application.properties

复制代码
# 是否开启授权
nacos.core.auth.enabled=true

开启授权为true,无需修改,排除

2.检查是否使用默认的token.secret.key

复制代码
# 默认访问密钥
nacos.core.auth.default.token.secret.key={需要修改}

也已经修改了(默认值为:SecretKey012345678901234567890123456789012345678901234567890123456789),且使用了默认值构造JWT来调用接口/nacos/v1/auth/users?pageNo=1&pageSize=9,调用失败,证明也不是这个默认值的问题,排除

3.检查是否因为请求头添加了参数User-Agent: Nacos-Server

报权限错误,排除

4.真正原因,默认的serverIdentity和security

就没有修改或者配置这两个值,导致可以使用这两个值来进行新增用户的调用

复制代码
# 这两个值就是个serverIdentity和security,如果没有配置,其默认值也是serverIdentity和security
nacos.core.auth.server.identity.key=serverIdentity
nacos.core.auth.server.identity.value=security

尝试调用:

获取用户:调用成功

新增用户:成功

解决方法:设置这两个配置的值,不使用默认值

复制代码
nacos.core.auth.server.identity.key={新的值}
nacos.core.auth.server.identity.value={新的值}

设置了新的值之后:新增用户失败了

至此,解决了

相关推荐
AKAMAI3 天前
每百万 Token 成本砍六成,出海 AI 团队开始重算推理这笔账
人工智能·云计算
Inhand陈工15 天前
基于台达PLC与映翰通IG502的智慧水产养殖精准投喂与远程运维解决方案
运维·人工智能·物联网·阿里云·信息与通信
Database_Cool_16 天前
什么是数据仓库物化视图?AnalyticDB MySQL 实时物化视图能力解析
人工智能·mysql·阿里云
Database_Cool_16 天前
大规模数据分析降本指南:AnalyticDB Serverless 弹性架构实战
数据仓库·阿里云·架构·数据分析·serverless
tiancaijiben16 天前
阿里云Kubernetes集群托管完全指南:从创建到生产级运维
云计算
我是小bā吖16 天前
Claude Code 模型接入阿里云 AI 网关并统计不同使用者的模型用量
网络·人工智能·阿里云
翼龙云_cloud16 天前
阿里云国际代理商:如何使用RDS MySQL 构建网站数据库?
数据库·mysql·阿里云
互联网推荐官16 天前
上海软件定制开发公司推荐:从PaaS工程化路径看D-coding的技术取舍
云原生·云计算·paas·软件开发·开发经验·上海
sbjdhjd16 天前
从零搭建企业级 CI/CD(下):Jenkins+GitLab+Harbor 全链路实战指南
git·servlet·ci/cd·云原生·云计算·gitlab·jenkins
wcy1008616 天前
为 CentOS 7.6 (7.6.1810) 配置阿里云 Vault 源
linux·阿里云·centos